Cuprins:
Definiție - Ce înseamnă semnatura de intruziune?
Semnătura de intruziune este un fel de amprentă lăsată în urmă de făptașii unui atac rău intenționat asupra unei rețele de calcul sau a unui sistem. Fiecare semnătură de intruziune este diferită, dar pot apărea sub formă de dovezi, cum ar fi înregistrări de autentificări eșuate, execuții software neautorizate, fișier sau acces la director neautorizat sau utilizarea necorespunzătoare a privilegiilor administrative.
Techopedia explică semnătatea intrusiei
Semnăturile de intruziune sunt înregistrate și înregistrate de sistemele de detectare a intruziunilor și sunt studiate și documentate de către administratorii de sistem care pot configura sau modifica sistemul de multe ori pentru a împiedica același atac să se întâmple din nou, consolidând astfel securitatea împotriva atacurilor viitoare. Administratorii de sistem pot fi capabili să determine astfel de informații de investigare despre cum și când a fost executată intruziunea și nivelul de abilitate al făptuitorului.
Majoritatea sistemelor de detectare a intruziunilor folosesc una dintre următoarele metode de detectare:
- Detectare bazată pe semnături
- Detectarea bazată pe anomalie statistică
- Detectarea statistică a protocolului
Prin înregistrarea și înregistrarea semnăturilor de intruziune într-o bază de date, metoda de detectare bazată pe semnături monitorizează traficul de rețea în căutarea de potriviri de semnături. Când acestea sunt găsite, sistemul de detectare ia măsurile adecvate.
Două tipuri de semnături de intruziune sunt utilizate frecvent
- Bazat pe exploatare
- Bazat pe vulnerabilitate
Sistemele de detectare a intruziunilor îl folosesc pentru a analiza tiparele înregistrate anterior și pentru a proteja împotriva repetițiilor; îl folosesc pe acesta din urmă analizând vulnerabilitățile dintr-un program, execuțiile programului și condițiile necesare pentru exploatarea vulnerabilităților respective.
